Le RGPD, le règlement qui donne des sueurs froides aux entreprises

21/09/2017

Le 25 mai 2018 entrera en vigueur dans tous les pays membres de l’Union Européenne, le Règlement Général sur la Protection des Données, ou RGPD. Ce nouveau règlement entend redonner aux citoyens le contrôle de leurs données personnelles, tout en uniformisant les réglementations européennes relatives à la vie privée.

Qu’est-ce que le RGPD ?

Dix années d’intenses négociations et de résistances contre les lobbies des grandes multinationales auront été nécessaires à la Commission européenne pour produire ce texte révolutionnaire en matière de protection des données, baptisé Règlement Général sur la Protection des Données. Cette réforme vise à moderniser et à renforcer les principes énoncés dans la directive européenne de 1995 sur la protection des données, aujourd’hui largement dépassés par les avancées technologiques et l’essor de nouvelles disciplines comme le Big Data et le Machine Learning.

Elle vise directement les GAFA jusqu’alors peu soucieux du sort réservé aux données personnelles de leurs clients, étant données les lacunes de la directive de 1995.

Quelles sont les mesures phares du RGPD ?

Une des grandes nouveautés introduite par ce règlement est l’idée de « privacy by design and by default ». Cette notion implique que toute technologie susceptible d’utiliser des données personnelles devra faire l’objet d’une analyse d’impact des dommages sur la vie privée des personnes concernées par ces données et devra assurer dès sa conception le plus haut niveau de protection possible. Cette étude d’impact sera soumise à l’autorité compétente du pays qui pourra alors approuver ou refuser le projet.

Le principe d’« accountability » (responsabilité en français) fait également son apparition. Son objectif est de responsabiliser les Entreprises. Dorénavant, ces dernières n’auront plus à contacter une autorité de contrôle pour demander une autorisation de traitement sur des données personnelles, mais en contrepartie elles devront être en mesure à tout moment de pouvoir apporter les preuves qu’elles respectent le règlement en cas de contrôle.

Du côté des citoyens, les droits de consultation, d’effacement et de rectification sont renforcés. D’autres droits sont créés comme le droit à la portabilité des données ou le droit à la limitation du traitement. La notion de consentement est également revue. Il ne pourra plus se limiter à un silence, une inactivité ou une case cochée par défaut, mais devra résulter d’un acte positif clair et volontaire de la part du citoyen. Conformément au principe d’« accountability », ce sont les Entreprises qui devront prouver que le consentement est bien valable.

Les Entreprises seront obligées de signaler à une autorité compétente et aux personnes concernées tout piratage de données à caractère personnel dans un délai de 72h maximum. En 2016, Yahoo! avait avoué avoir subi un piratage de données concernant plus d’un milliard de comptes, lequel piratage avait eu lieu en… 2014, soit deux ans plus tôt. Un tel délai ne sera plus possible à partir de mai 2018.

Un nouveau poste devient obligatoire pour la plupart des Entreprises, le Data Protection Officer, qui sera responsable de la conformité des processus de l’Entreprise avec le RGPD et de la relation avec les autorités compétentes.

En tout, ce sont près d’une centaine d’articles qui redéfinissent les règles en matière de protection de la vie privée et de contrôle des données personnelles.

Quels sont les risques encourus par les Entreprises si elles ne respectent pas ce règlement ?

Le RGPD est bien plus dissuasif en termes de sanctions. En cas de non-respect du règlement, le texte prévoit de lourdes sanctions financières pouvant aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros (le montant maximum étant retenu). À titre de comparaison, la loi française « Informatiques et Libertés » prévoit une amende maximale de seulement 150 000€. D’ailleurs, c’est à cette amende maximale que Facebook a été condamné par la CNIL en mai 2017 pour de nombreux manquements.

Avec le RGPD, Google et ses 95 milliards de dollars de chiffre d’affaires pour 2016 pourrait théoriquement se voir infliger une amende de 3,8 milliards de dollars en cas de faute grave ! Bien plus dissuasif, donc.

Quelles seraient les démarches à entreprendre pour se conformer au RGPD ?

Tout d’abord, il faudra désigner un pilote. Ce délégué à la protection des données sera responsable de la Gouvernance des Données personnelles dans l’Entreprise. Il aura un rôle d’information et de Conseil auprès des employés et devra coopérer avec l’autorité de contrôle. Il sera également chargé de réaliser l’inventaire des traitements de données au sein de l’Entreprise. En effet, la cartographie précise et exhaustive de l’ensemble des traitements et processus susceptibles d’utiliser des données personnelles devient obligatoire pour les Entreprises. Afin d’être constamment en mesure de prouver sa conformité au RGPD, la documentation complète des traitements, des processus et des contrats sera primordiale.

S’assurer qu’aucune donnée superflue ne soit utilisée, traiter correctement les demandes des personnes quant à l’exercice de leurs droits (droit d’accès, droit de rectification, droit à l’oubli, droit à la portabilité, droit du retrait du consentement, etc.) et vérifier que l’ensemble des sous-traitants connaissent leurs responsabilités sont autant d’actions à mener.

Une fois un traitement identifié comme présentant des risques sur des données personnelles, les Entreprises devront mener une étude d’impact. Cela permettra de répondre aux menaces qui pèsent sur la vie privée des personnes concernées par ces données. Les Entreprises devront prendre en compte la protection de la vie privée dès la conception et anticiper la violation des données.

Moins d’un an avant l’entrée en vigueur du RGPD, quel est le niveau de maturité des Entreprises françaises sur ce sujet ?

Malgré les sanctions auxquelles s’exposent les Entreprises et le peu de temps qu’il reste avant l’entrée en vigueur du règlement, force est de constater leur faible niveau de maturité sur le RGPD.

En effet, 67% des Entreprises sont encore en veille technologique, 50% ignorent les problématiques induites par la mise en conformité et 25% n’ont aucune idée des impacts au niveau IT. Plus d’un tiers des Entreprises estiment être encore loin des exigences du RGPD et 69% ne sont pas certaines d’être conformes à temps.

Point positif, 77% des Entreprises voient dans le RGPD une réelle opportunité pour créer de la valeur à partir de leurs données personnelles.

Il est en tout cas fort probable que le programme des mois à venir soit bien rempli pour les DSI…

Pour en savoir plus

https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee

http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:31995L0046&from=FR

http://www.e-marketing.fr/Thematique/general-1080/Infographies/RGPD-Reglement-protection-donnees-quelle-est-maturite-marques-France-318201.htm

Quentin DUSSERRE

Quentin DUSSERRE

Consultant Nexworld

DÉCOUVREZ COMMENT NOTRE CABINET ACCOMPAGNERA LA TRANSFORMATION DE VOTRE ENTREPRISE

Les consultants Nexworld mettent leur expertise aux services des entreprises qui veulent accélérer leur transformation numérique. Nexworld propose des séminaires adaptée aux besoins et au SI existant de votre entreprise.

Kubernetes à la mode Edge

Les nouvelles sources d’événements telles que la voiture connectée dans l’automobile, le bâtiment et les bureaux intelligents ou encore l’industrie pour la surveillance des usines, nécessitent des capacités de calcul et de traitements en complément des infrastructures...

SOA versus Microservices : quelles différences ?

Entre les architectures SOA et microservices, les similitudes sont nombreuses. Alors comment distinguer ces deux types d’architectures ? Comment gérer la transition de l’une à l’autre ? Explications.